Definition
금감원 감리에서 IT 통제 관련 지적이 나올 때 빠지지 않는 항목이 있다. 감사팀이 "응용 통제를 확인했다"고 조서에 기재해 놓고 막상 열어보면 IT 담당자 인터뷰 메모 한 장뿐인 경우다. ISA 315.33(c)는 감사인이 통제를 '이해'하도록 요구하는데, 실무에서는 시스템 화면을 직접 보거나 거래 샘플을 추적해야 한다는 뜻이다.
핵심 요약
- 응용 통제는 정보 시스템이 거래를 정확하게 기록하고 분류하도록 보장한다. - ISA 315에 따르면 감사인은 통제의 설계와 운영 효과성을 이해해야 한다. - 감사팀 상당수가 응용 통제를 일반 IT 통제(ITGC)와 혼동하여 테스트 결론을 잘못 도출한다. - 품관실 리뷰에서 가장 자주 되돌아오는 항목이기도 하다.
작동 원리
응용 통제는 거래 진행 단계마다 작동한다. ISA 315.33은 감사인이 정보 시스템의 거래 기록 정확성을 이해하도록 요구한다. 매출 시스템을 예로 들면 주문 입력, 배송 실행, 송장 발행, 대금 회수 네 단계에서 금액 일치 검사를 수행하는지, 미인가 거래를 자동으로 거부하는지 확인하는 것이다.
응용 통제에는 크게 두 유형이 있다. 데이터 검증 통제는 입력된 수량이나 가격이 정해진 범위 안에 있는지 시스템이 확인한다. 일치 통제는 서로 다른 시스템의 자료(구매 주문과 수령 보고, 송장과 청구서)를 비교한다. 일치 통제가 실패하면 순환 오류가 발생한다.
ISA 315.A88은 응용 통제의 신뢰성이 기저 IT 환경(데이터 접근 관리, 변경 통제)에 달려 있다고 명시한다. 솔직히 응용 통제가 아무리 자동화되어 있어도 그 시스템에 무단 접근이 가능하거나 변경 기록 관리가 안 되면 통제가 없는 것이나 마찬가지다. 조서에 "자동화된 통제이므로 신뢰한다"고만 적어두면 감리에서 바로 걸린다.
실무 사례: 한진산업 주식회사
한국 제조업체로, 2024년도 매출 680억 원, K-IFRS 보고 기업이며 SAP 기반 ERP를 운용한다.
외상매출금 수정자 테스트 중 매출 인식 오류 위험이 중간 정도 이상으로 판단되었다.
1단계: 거래 흐름 추적
영업팀이 주문 시스템에 계약금 비율을 입력하면 ERP 매출 모듈이 이 비율에 따라 매출액을 자동 계산한다. 한진산업의 주문-청구 프로세스는 네 단계(주문 입력, 배송 실행, 공식 송장 생성, 거래 기록)로 구성된다. 문서화 노트: 통제 아키텍처 조서에 네 단계를 기술하고, 각 단계의 입력과 출력 데이터를 명기한다.
2단계: 응용 통제 식별
SAP에서 네 가지 응용 통제를 찾았다. (1) 배송 수량이 주문 수량을 초과하면 자동 거부된다. (2) 청구 금액이 배송 기록과 불일치하면 "보류" 상태로 표시된다. (3) 특정 고객 범주(신용도 등급 3 이하)에는 선수금 없이 거래가 진행되지 않는다. (4) 일정 금액(5천만 원) 이상의 매출 수정은 승인자 2인의 전자 서명이 필요하다. 세 번째와 네 번째는 수동 승인 통제다. 문서화 노트: 통제 목록 조서에 각 통제의 목표, 실행 위치(자동/수동), 관련 위험 항목을 기입한다.
3단계: 설계 유효성 평가
통제 설계를 시스템 관리자 및 운영 담당자와 확인했다. 배송 수량 검증과 청구 대조는 실제 구성된 상태로 확인됐다. 선수금 검증은 부분적으로만 자동화됐고 나머지는 영업 관리자의 수동 검토에 의존한다. "보류" 상태인 거래(월 평균 3~5건)는 영업 담당자가 해당 이유를 조사해야 한다. 문서화 노트: 시스템 구성 스크린샷(민감정보 제거)과 통제 절차 설명 문서를 조서에 부착한다.
4단계: 운영 효과성 테스트
지난 12개월간 발생한 보류 거래 45건 중 10건을 무작위로 샘플링했다. 모든 샘플에서 청구액이 배송 기록과 일치하지 않는 사실이 확인됐고 영업 담당자의 조정 메모가 기록되어 있었다. 거래 로그에서 금액 수정 7건을 추가로 찾았는데 모두 "보류" 상태에서 승인된 거래였다. 수동 선수금 검증은 3월 동안 신용도 3 이하 고객 19건을 검토했고 전원 선수금이 징수되었음을 확인했다. 문서화 노트: 테스트 샘플 ID, 확인 결과, 예외 사항을 테스트 결과 조서에 상세히 기입한다.
네 가지 응용 통제 모두 설계되었으며 테스트 기간 동안 운영되었다. 자동화된 검증 및 대조 통제는 거래 처리 전에 오류를 탐지했다. 수동 승인 통제도 정책에 따라 운영되었으나, 제 경험상 이런 수동 통제는 담당자 교대나 휴가 시 곧바로 무력화된다. 인차지라면 보완 테스트(월별 거래 대조, 선수금 수령 기록 검증)를 반드시 계획해야 한다.
감리에서 반복되는 지적
금감원이 응용 통제 관련으로 가장 자주 지적하는 항목은 세 가지 범주로 나뉜다.
첫째, 감사팀이 응용 통제를 확인했다고 조서에 기재하면서 실제로는 IT 담당자의 구두 확인만 기록한다. ISA 315.33(c)는 감사인이 '이해'해야 한다고 요구하며 이는 시스템 내에서 통제가 실제로 구성되었음을 확인하거나 거래 샘플의 처리 과정을 추적해야 한다는 의미다. 막상 해보면 시간이 걸리지만 조서가 얇으면 감리에서 방어할 수가 없다.
둘째, 설계가 완벽해도 운영상 실패가 있을 수 있다. 일일 이상거래 리포트를 생성하도록 프로그래밍된 시스템이라도 담당자가 그 리포트를 검토하지 않으면 통제는 존재하지 않는 것이다. ISA 315.A90은 자동 통제라도 기저 조건(사용자 훈련, 데이터 정확성)이 갖춰져야 한다고 명시한다.
셋째, ITGC와의 혼동이다. ITGC(정보 시스템 접근 관리, 변경 통제)는 응용 통제가 신뢰할 수 있도록 보장하는 환경 통제다. 응용 통제 테스트를 진행하면서 기저 ITGC의 약점(무단 접근, 감시되지 않은 변경)을 고려하지 않으면 결론 자체가 흔들린다.
응용 통제 vs. ITGC(일반화 통제)
| 측면 | 응용 통제 | ITGC |
|---|---|---|
| 목표 | 특정 거래의 정확성과 완전성, 승인, 유효성 보장 | 모든 거래 처리 환경의 무결성 보장 |
| 작동 위치 | 업무 프로세스 내(매출, 구매, 급여) | 정보 시스템 전체(접근, 변경, 백업) |
| 테스트 범위 | 선택된 거래 샘플 또는 시스템 구성 검증 | IT 정책 준수, 로그 검토, 문서 검증 |
| 운영 책임 | 업무 담당 부서 | IT 부서 |
| ISA 참조 | ISA 315.33, ISA 315.A87-A90 | ISA 315.A90, ISA 330 |
실무에서 구분이 중요한 이유
응용 통제와 ITGC를 혼동하면 감사 범위와 결론이 왜곡된다. "ERP 시스템 접근 권한이 정확하게 설정되었다"는 ITGC 결론이 "매출 금액 자동 계산이 정확하다"는 응용 통제 결론을 자동으로 보장하지 않는다. 반대 방향도 마찬가지다. 응용 통제의 설계가 우수해도 시스템에 무단 접근이 가능하면 통제는 무의미하다. 감사인은 두 수준의 통제를 독립적으로 평가해야 한다.
관련 용어
- 거래 순환: 응용 통제는 거래 순환의 각 단계에서 작동한다. - 일반화 통제(IT 환경): 응용 통제의 신뢰성을 뒷받침하는 기저 환경 통제다. - 통제 테스트: 응용 통제의 설계 유효성과 운영 효과성을 입증하는 감사 절차다. - ISA 315 개정: 응용 통제의 식별 및 이해 요구사항을 다룬다.
계산 도구
ciferi의 응용 통제 테스트 플래너 도구를 사용하면 거래 흐름에서 통제 포인트를 식별하고 각 통제의 테스트 방법과 샘플 크기를 계획할 수 있다. ISA 315.33의 요구사항에 맞춰 거래 순환별 통제 매트릭스를 작성하도록 설계되었다.
---